EU:s dataskyddsreform – vad innebär den för ditt företag?
Den 10 mars bjöd Tripnet in till årets första kunskapsseminarium. Den här gången gästades vi av Jesper Sundström från Wistrand advokatbyrå, som berättade om EU:s nya dataskyddsreform. Jesper är Advokat och har jobbat med integritetsfrågor hela sin karriär (han var med redan på datalagens tid före 1995). Vad kommer att hända när personuppgiftslagen ersätts av EU:s dataskyddsförordning och vad kommer det att innebära för företag som hanterar personuppgifter? Detta och mycket annat bringade Jesper klarhet i under det välbesökta frukostmötet.
Vad är det för förordning vi pratar om?
Den 25 januari 2012 presenterade EU-kommissionen ett förslag till en ny förordning om dataskydd. Förslaget har stötts och blötts och genomgått över 3000 ändringar och nu har medlemsländerna till sist nått en överenskommelse. Allt tyder på att förordningen kommer att antas under våren och träda i kraft under 2018. Syftet är att effektivisera skyddet av personuppgifter för att förbättra den inre marknaden, öka enskildas kontroll över sina personuppgifter samt underlätta för företag att verka över landsgränser.
Internetanvändningens enorma ökning ligger bakom
När personuppgiftslagen trädde i kraft 1998 hade cirka 2 % tillgång till Internet, att jämföra med dagens siffra på ca 92 %. I genomsnitt tillbringar vi 19 % av vår vakna tid på Internet och har 10,29 olika privata konton som kräver lösenord. Allt från sociala medier till banktjänster och statliga myndigheter kräver att vi har en inloggning med registrerade personuppgifter. Nuvarande lagstiftning är inte anpassad för den enorma mängd information som cirkulerar på Internet idag.
Förordningens innebörd för företag
När förordningen träder i kraft ersätter den personuppgiftslagen och gäller som lag i samtliga EU:s medlemsländer. En av fördelarna är att man får en ”one-stop-shop”, med en övervakande tillsynsmyndighet för hela EU. Företag ska kunna vända sig till lokala myndigheter även om kränkningen sker i ett annat land, vilket underlättar för företag som är etablerade i flera länder. För oss innebär det Datainspektionen här i Sverige.
I den nya förordningen är definitionen av vad som räknas som personuppgifter utökad och omfattar allt som kan identifiera en person: IP-nummer, kreditkort, adress, telefon och mycket mer. Här måste man som företag fundera ett extra varv kring vilken information man hanterar. Företag kommer att vara skyldiga att rapportera dataintrång inom 72 timmar. Då gäller det att ha koll på hur snabbt man kan identifiera ett intrång. Jag är övertygad om att mörkertalet är stort och att många inte vågar erkänna att det haft dataintrång. Jag tror att vi alla har mycket att vinna på att våga prata om detta och kunna lära av varandra.
En annan stor skillnad är att samtyckesbestämmelserna skärps och bevisbördan kommer ligga hos företaget som tillhandahåller tjänster. Företag bör därför se över sina befintliga samtycken och införa system om det behövs.
Förordningen innefattar även molntjänster. För att kunna uppfylla kraven gäller att alla som arbetar med ett företags data följer reglerna, vilket innebär att det är klokast att låta all data stanna inom EU.
Att bryta mot förordningen kommer att medföra kraftiga sanktioner. Det första steget blir troligtvis en varning, som följs av utökad tillsyn och kan leda till böter upp till 20 miljoner Euro.
Ökad integritet
För individer innebär den nya förordningen en högre integritet, med mer insyn och möjlighet att ta kontroll över vad som händer. Individer ges också rätt att bli glömda, vilket innebär att man kan kräva att ett företag (som till exempel Google) raderar personlig information. Rätten gäller dock inte om det finns lagliga skäl (t.ex. skattemässiga) till att ha kvar uppgifterna. Värt att notera är att rätten att bli glömd även innefattar säkerhetskopierad data. Så som förordningen är skriven kommer företag alltså bli skyldiga att ta bort uppgifter från samtliga ställen. Detta väckte många frågor från publiken, kan man som tidigare ”ducka” på just säkerhetskopiorna? Det skall bli spännande att se hur det ska gå till rent praktiskt. Kanske är objektlagring en lösning på problemet, men det ställer en del krav på systemen. Ett annat alternativ är att man undantar säkerhetskopiorna på något sätt, men då blir det väldigt viktigt att veta vilken data som omedelbart skall raderas vid en återläsning.
Förordningen ger individer rätt att flytta sina uppgifter mellan leverantörer och innebär även ett skärpt skydd för barn, där föräldrarnas samtycke kommer att krävas för onlinetjänster. Det kan bli spännande samtal hemma med den blivande tonåringen.
Stora krav på företag
Det kommer ställas stora krav på företag att kunna visa vilken information man samlar in och att den behandlas på ett adekvat vis. Det blir därför allt viktigare att dokumentera och kunna bevisa att man följer lagen. Jag tänker mig ett fortsatt och utökat arbete med informationssäkerhet, vilket vi återkommer till på en frukost 29 september .
Några frågor som är bra att redan nu börja på fundera på är:
- Vilken information om våra kunder har vi egentligen hos oss?
- Kommer vi att behöva införa spärrar för vem som ska komma åt informationen?
- Vad är den lagliga grunden för att samla in data?
- Hur hämtar vi in samtycke idag? Kommer detta att räcka framöver?
- Finns våra samtycken dokumenterade?
- Hur ser risken ut för att vi ska utsättas för dataintrång?
- Finns det risk att vår informationsinsamling kan vara kränkande?
- Är system och procedurer anpassade för att säkerställa att aktuella krav uppfylls, exempelvis minimering av behandling?
Det återstår att se hur förordningen kommer att fungera i verkligheten. Med den enorma mängd data som finns är det inte utan att man ställer sig frågan – hur ska det praktiskt gå till att få alla att följa dessa nya regler? Teknikutvecklingen ligger alltid före lagstiftningen, men nog ger den nya förordningen ändå åtminstone lite bättre skydd för privatpersoner. Och för oss företag? Ja, reglerna kommer att finnas där, och de måste vi förhålla oss till. En sista sak som jag tycker är spännande är att EU är så tydliga i att värna personlig integritet att man inte räds amerikanska myndigheter, för mig är det ett bra steg framåt. Spännande tider väntar oss helt klart!
Ulf Persson, VD.
Totalt kommer vi att köra fyra kunskapsseminarier under året och vårt mål är att lyfta intressanta ämnen och dela med oss av insiktsfulla råd. Nästa tillfälle är den 4 maj och då gästas vi av Tomas Sundström från Arbor Networks. Läs mer och anmäl dig här.
